Amazon 全局条件上下文密钥

当主体向 Amazon 发出请求时，Amazon 会将请求信息收集到请求上下文中。您可以使用 JSON 策略的 Condition 元素将请求上下文中的键与您在策略中指定的键值进行比较。要了解有关在请求上下文中包含全局键的情况的更多信息，请参阅每个全局条件键的可用性信息。有关如何在 JSON 策略中使用 Condition 元素的信息，请参阅IAM JSON 策略元素：Condition。

"Condition": {
    "IpAddressIfExists": {"aws:SourceIp" : ["xxx"] },
    "StringEqualsIfExists" : {"aws:SourceVpc" : ["yyy"]} 
}

全局条件键是带有 aws: 前缀的条件键。Amazon 服务既可支持全局条件键，也可提供包含服务前缀的服务特定键。例如，IAM 条件键包含 iam: 前缀。有关更多信息，请参阅 Amazon 服务的操作、资源和条件键，然后选择要查看其键的服务。

aws:CalledVia

与字符串运算符结合使用。

使用此键可以将策略中的服务与代表 IAM 主体（用户或角色）发出请求的服务进行比较。当主体向 Amazon 服务发出请求时，该服务可能会使用主体的凭证向其他服务发出后续请求。aws:CalledVia 键包含链中代表主体发出请求的每个服务的有序列表。

例如，您可以使用 Amazon CloudFormation 从 Amazon DynamoDB 表中读取和写入。然后，DynamoDB 使用 Amazon Key Management Service (Amazon KMS) 提供的加密操作。

要在策略中使用 aws:CalledVia 条件键，您必须提供服务主体以允许或拒绝 Amazon 服务请求。Amazon 支持将以下服务主体用于 aws:CalledVia。

要在任何 服务使用主体的凭证发出请求时允许或拒绝访问，请使用 aws:ViaAWSService 条件键。该条件键支持 Amazon 服务。

aws:CalledVia 键是多值键。但是，您不能在条件下强制使用此键进行排序。使用上面的示例，User 1（用户 1）向 Amazon CloudFormation 发出请求，然后依次调用 DynamoDB 和调用 Amazon KMS。这是三个单独的请求。对 Amazon KMS 的最终调用是由用户 1 通过 Amazon CloudFormation，然后通过 DynamoDB 进行的。

在这种情况下，请求上下文中的 aws:CalledVia 键包括 cloudformation.amazonaws.com 和 dynamodb.amazonaws.com（按照该顺序）。如果您只关心调用是在请求链中的某个地方通过 DynamoDB 进行的，则可以在策略中使用此条件键。

例如，以下策略允许管理名为 my-example-key 的 Amazon KMS 键，但前提为 DynamoDB 是发出请求的服务之一。ForAnyValue:StringEquals 条件运算符确保 DynamoDB 是发出调用的服务之一。如果主体直接调用 Amazon KMS，则条件将返回 false，且此策略不允许请求。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "KmsActionsIfCalledViaDynamodb",
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey",
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:region:111122223333:key/my-example-key",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": ["dynamodb.amazonaws.com"]
                }
            }
        }
    ]
}

如果要强制由哪个服务在链中进行第一个或最后一个调用，可以使用 aws:CalledViaFirst 和 aws:CalledViaLast 键。例如，以下策略允许管理 Amazon KMS 中名为 my-example-key 的键。仅当链中包含多个请求时，才允许执行这些 Amazon KMS 操作。第一个请求必须通过 Amazon CloudFormation 发出，而最后一个请求必须通过 DynamoDB 发出。如果其他服务在链的中间发出请求，则仍然允许该操作。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "KmsActionsIfCalledViaChain",
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey",
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:region:111122223333:key/my-example-key",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaFirst": "cloudformation.amazonaws.com",
                    "aws:CalledViaLast": "dynamodb.amazonaws.com"
                }
            }
        }
    ]
}

当服务使用 IAM 主体的凭证调用另一个服务时，请求中会存在 aws:CalledViaFirst 和 aws:CalledViaLast 键。它们表示在请求链中进行调用的第一个和最后一个服务。例如，假定 Amazon CloudFormation 调用另一个名为 X Service 的服务，然后依次调用 DynamoDB，然后调用 Amazon KMS。对 Amazon KMS 的最终调用是由 User 1 依次通过 Amazon CloudFormation、X Service 和 DynamoDB 进行的。首先通过 DynamoDB 进行调用，最后通过 Amazon CloudFormation 进行调用。

aws:CalledViaFirst

与字符串运算符结合使用。

使用此键可以将策略中的服务与代表 IAM 主体（用户或角色）发出请求的第一个服务 进行比较。有关更多信息，请参阅aws:CalledVia。

aws:CalledViaLast

与字符串运算符结合使用。

使用此键可以将策略中的服务与代表 IAM 主体（用户或角色）发出请求的最后一个服务进行比较。有关更多信息，请参阅aws:CalledVia。

aws:CurrentTime

与日期运算符结合使用。

使用此键可将请求的日期和时间与您在策略中指定的日期和时间进行比较。要查看使用此条件键的示例策略，请参阅Amazon：允许基于日期和时间进行访问。

aws:Ec2InstanceSourceVpc

与字符串运算符结合使用。

此键标识将 Amazon EC2 IAM 角色凭证传递到的 VPC。您可以在具有 aws:SourceVPC 全局键的策略中使用此键，检查从中发出调用的 VPC (aws:SourceVPC) 是否与将凭证传送到的 VPC (aws:Ec2InstanceSourceVpc) 相匹配。

此键可以与 VPC 标识符值一起使用，但在用作与 aws:SourceVpc 上下文键组合的变量时最有用。只有当请求者使用 VPC 端点发出请求时，才将 aws:SourceVpc 上下文键包含在请求上下文中。搭配使用 aws:Ec2InstanceSourceVpc 和 aws:SourceVpc 时，您能够更广泛地使用 aws:Ec2InstanceSourceVpc，因为它可以比较通常一起变化的值。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "RequireSameVPC",
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
            "aws:SourceVpc": "${aws:Ec2InstanceSourceVpc}"
        },
        "Null": {
          "ec2:SourceInstanceARN": "false"
        },
        "BoolIfExists": {
          "aws:ViaAWSService": "false"
        }
      }
    }
  ]
}

在上面的示例中，如果 aws:SourceVpc 值不等于 aws:Ec2InstanceSourceVpc 值，则访问将被拒绝。通过测试 ec2:SourceInstanceARN 条件键是否存在，该策略声明仅限于用作 Amazon EC2 实例角色的角色。

该策略使用 aws:ViaAWSService，在代表您的 Amazon EC2 实例角色发出请求时允许 Amazon 对请求进行授权。例如，当您从 Amazon EC2 实例向加密的 Amazon S3 存储桶发出请求时，Amazon S3 会代表您调用 Amazon KMS。向 Amazon KMS 发出请求时，某些键不存在。

aws:Ec2InstanceSourcePrivateIPv4

与 IP 地址运算符结合使用。

此键标识 Amazon EC2 IAM 角色凭证传送到的主弹性网络接口的私有 IPv4 地址。您必须将此条件键与其配套键 aws:Ec2InstanceSourceVpc 一起使用，以确保您拥有 VPC ID 和源私有 IP 的全局唯一组合。将此键与 aws:Ec2InstanceSourceVpc 搭配使用可确保请求是从凭证传送到的同一私有 IP 地址发出的。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action":  "*",
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:Ec2InstanceSourceVpc": "${aws:SourceVpc}"
                },                
                "Null": {
                    "ec2:SourceInstanceARN": "false"
                },
                "BoolIfExists": {
                    "aws:ViaAWSService": "false"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action":  "*",
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:Ec2InstanceSourcePrivateIPv4": "${aws:VpcSourceIp}"
                },                               
                "Null": {
                    "ec2:SourceInstanceARN": "false"
                },
                "BoolIfExists": {
                    "aws:ViaAWSService": "false"
                }
            }
        }
    ]
}

aws:EpochTime

与日期运算符或数字运算符结合使用。

使用此键可将请求的日期和时间（以纪元或 Unix 时间表示）与您在策略中指定的值进行比较。此键还接受自 1970 年 1 月 1 日以来的秒数。

aws:FederatedProvider

与字符串运算符结合使用。

使用此密钥将主体的发布身份提供程序 (IdP) 与您在策略中指定的 IdP 进行比较。这意味着 IAM 角色正在使用 AssumeRoleWithWebIdentity 或 AssumeRoleWithSAML Amazon STS 操作代入。使用生成的角色会话的临时证书发出请求时，请求上下文将标识对原始联合身份进行身份验证的 IdP。

例如，如果用户已通过 Amazon Cognito 进行身份验证，则请求上下文将包含值 cognito-identity.amazonaws.com。同样，如果已通过 Login with Amazon 对用户进行身份验证，则请求上下文将包含值 www.amazon.com。

您可以使用任何可用的单值条件密钥作为变量。以下示例基于资源的策略使用 aws:FederatedProvider 密钥作为资源的 ARN 中的策略变量。此策略允许使用 IdP 进行身份验证的任何主体，使用特定于发布身份提供程序的路径从 Amazon S3 存储桶获取对象。

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Principal": "*",
    "Action": "s3:GetObject",
    "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/${aws:FederatedProvider}/*"
  }
}

aws:MultiFactorAuthAge

与数字运算符结合使用。

使用此键可将自使用 MFA 向请求主体授权以来的秒数与您在策略中指定的数量进行比较。有关 MFA 的更多信息，请参阅 在 Amazon 中使用多重身份验证 (MFA)。

aws:MultiFactorAuthPresent

与布尔值运算符结合使用。

使用此键可检查是否已使用多重验证 (MFA) 来验证发出请求的临时安全凭证。

临时凭证用于验证 IAM 角色、联合身份用户、具有来自 sts:GetSessionToken 的临时令牌的 IAM 用户以及 Amazon Web Services Management Console 用户。IAM 用户访问密钥是长期凭证，但在某些情况下，Amazon 会代表 IAM 用户创建临时凭证以执行操作。在这些情况下，aws:MultiFactorAuthPresent 密钥存在于请求中，并设置为值 false。有两种常见情况可能会发生这种情形：

要了解哪些服务支持使用临时凭证，请参阅使用 IAM 的Amazon服务。

在使用长期凭证（例如，用户访问密钥对）调用 API 或 CLI 命令时，不提供 aws:MultiFactorAuthPresent 键。因此我们建议，当您检查此键时使用 ...IfExists 版本的条件运算符。

必须理解，以下 Condition 元素不是 检查请求是否使用 MFA 进行身份验证的可靠方式。

#####   WARNING: NOT RECOMMENDED   #####
"Effect" : "Deny",
"Condition" : { "Bool" : { "aws:MultiFactorAuthPresent" : "false" } }

Deny 效果、Bool 元素和 false 值的这一组合可拒绝可以使用但未使用 MFA 进行身份验证的请求。这仅适用于支持使用 MFA 的临时凭证。此语句不会拒绝对使用长期凭证发出的请求或使用 MFA 进行身份验证的请求的访问权限。使用此示例时务必要谨慎，因为其逻辑复杂，并且未对是否实际使用 MFA 身份验证进行测试。

此外，请勿使用 Deny 效果、Null 元素和 true 的组合，因为该组合行为方式相同，但逻辑更加复杂。

建议的组合

我们建议您使用 BoolIfExists 运算符检查是否使用 MFA 对请求进行身份验证。

"Effect" : "Deny",
"Condition" : { "BoolIfExists" : { "aws:MultiFactorAuthPresent" : "false" } }

Deny、BoolIfExists 和 false 的组合将拒绝未使用 MFA 进行身份验证的请求。具体来说，它拒绝来自不包含 MFA 的临时凭证的请求。它还拒绝使用长期凭证发出的请求，例如使用访问密钥执行的 Amazon CLI 或 Amazon API 操作。*IfExists 运算符用于检查 aws:MultiFactorAuthPresent 键是否存在以及它是否可以存在（由其存在性指示）。当您要拒绝未使用 MFA 进行身份验证的任何请求时，可使用此运算符。这是更安全的，但可能会中断使用访问密钥访问 Amazon CLI 或 Amazon API 的任何代码或脚本。

替代组合

您还可以使用 BoolIfExists 运算符以允许通过 MFA 进行身份验证的请求以及使用长期凭证发出的 Amazon CLI 或 Amazon API 请求。

"Effect" : "Allow",
"Condition" : { "BoolIfExists" : { "aws:MultiFactorAuthPresent" : "true" } }

此条件将匹配键存在或键不存在的情况。Allow、BoolIfExists 和 true 的组合允许已使用 MFA 进行身份验证的请求或无法使用 MFA 进行身份验证的请求。这意味着，在请求者使用其长期访问密钥时，允许执行 Amazon CLI、Amazon API 和 Amazon 开发工具包操作。该组合不允许来自临时凭证的请求，这些凭证可能包含 MFA，但未包含 MFA。

在使用 IAM 控制台可视化编辑器创建策略并选择需要 MFA 时，将应用该组合。该设置要求使用 MFA 进行控制台访问，但允许在没有 MFA 的情况下进行编程访问。

或者，您也可以使用 Bool 运算符，以便仅在使用 MFA 进行身份验证时允许编程和控制台请求。

"Effect" : "Allow",
"Condition" : { "Bool" : { "aws:MultiFactorAuthPresent" : "true" } }

Allow、Bool 和 true 的组合仅允许已进行 MFA 身份验证的请求。这仅适用于支持使用 MFA 的临时凭证。该语句不允许访问使用长期访问密钥发出的请求，也不允许访问在没有 MFA 的情况下使用临时凭证发出的请求。

请勿使用策略进行类似以下的构建，以检查 MFA 密钥是否存在：

#####   WARNING: USE WITH CAUTION   #####

"Effect" : "Allow",
"Condition" : { "Null" : { "aws:MultiFactorAuthPresent" : "false" } }

Allow 效果、Null 元素和 false 值的组合仅允许可以使用 MFA 进行身份验证的请求，而不考虑该请求是否已实际进行身份验证。这组合允许使用临时凭证发出的所有请求，而对长期凭证拒绝访问权限。使用此示例时务必要谨慎，因为它未对是否实际使用 MFA 身份验证进行测试。

aws:PrincipalAccount

与字符串运算符结合使用。

使用此键可将请求主体所属的账户与您在策略中指定的账户标识符进行比较。对于匿名请求，请求上下文将返回 anonymous。

在以下示例中，除了拥有账号 123456789012 的主体外，访问会被拒绝。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAccessFromPrincipalNotInSpecificAccount",
      "Action": "service:*",
      "Effect": "Deny",
      "Resource": [
        "arn:aws:service:region:accountID:resource"
      ],
      "Condition": {
        "StringNotEquals": {
          "aws:PrincipalAccount": [
            "123456789012"
          ]
        }
      }
    }
  ]
}
        

aws:PrincipalArn

使用 ARN 运算符和字符串运算符。

使用此键可将发出请求的主体的 Amazon Resource Name (ARN) 与您在策略中指定的 ARN 进行比较。对于 IAM 角色，请求上下文将返回角色的 ARN，而不是已代入角色的用户的 ARN。

下表显示了您可以在 aws:PrincipalArn 条件键中指定的为不同类型的主体返回的请求上下文值：

aws:PrincipalOrgID

与字符串运算符结合使用。

使用此键可将请求主体所属的 Amazon Organizations 中组织的标识符与策略中指定的标识符进行比较。

此全局键提供了列出组织中的所有 Amazon 账户的所有账户 ID 的替代方法。您可以使用此条件键来简化在基于资源的策略中指定 Principal 元素的过程。您可以在条件元素中指定组织 ID。当您添加和删除账户时，包含 aws:PrincipalOrgID 键的策略将自动包括正确的账户，并且不需要手动更新。

例如，以下 Amazon S3 存储桶策略允许 o-xxxxxxxxxxx 企业中的任何账户成员将对象添加到 policy-ninja-dev 存储桶中。

 {
  "Version": "2012-10-17",
  "Statement": {
    "Sid": "AllowPutObject",
    "Effect": "Allow",
    "Principal": "*",
    "Action": "s3:PutObject",
    "Resource": "arn:aws:s3:::policy-ninja-dev/*",
    "Condition": {"StringEquals":
      {"aws:PrincipalOrgID":"o-xxxxxxxxxxx"}
    }
  }
}

有关 Amazon Organizations 的更多信息，请参阅 Amazon Organizations 用户指南中的什么是 Amazon Organizations？

aws:PrincipalOrgPaths

与字符串运算符结合使用。

使用此键可将发出请求的主体的 Amazon Organizations 路径与策略中的路径进行比较。该主体可以是 IAM 用户、IAM 角色、联合用户或 Amazon Web Services 账户根用户。在策略中，此条件键可确保请求者是 Amazon Organizations 中指定组织根或组织单位 (OU) 的账户成员。Amazon Organizations 路径是 Organizations 实体结构的文本表示形式。有关使用和了解路径的更多信息，请参阅了解 Amazon Organizations 实体路径。

例如，以下条件返回账户中主体的 true，该主体直接附加到 ou-ab12-22222222 OU 但不在其子 OU 中。

"Condition" : { "ForAnyValue:StringEquals" : {
     "aws:PrincipalOrgPaths":["o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/"]
}}

以下条件为账户中的主体返回 true，该主体直接附加到 OU 或其任何子 OU。包含通配符时，您必须使用 StringLike 条件运算符。

"Condition" : { "ForAnyValue:StringLike" : {
     "aws:PrincipalOrgPaths":["o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/*"]
}}

以下条件为账户中的主体返回 true，该主体直接附加到任意子 OU，但不会直接附加至父 OU。以前的条件适用于 OU 或任何子 OU。以下条件仅适用于子 OU（以及这些子 OU 的任何子 OU）。

"Condition" : { "ForAnyValue:StringLike" : {
     "aws:PrincipalOrgPaths":["o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/ou-*"]
}}

以下条件允许访问 o-a1b2c3d4e5 组织中的各个主体，而无论其父 OU 如何。

"Condition" : { "ForAnyValue:StringLike" : {
     "aws:PrincipalOrgPaths":["o-a1b2c3d4e5/*"]
}}

aws:PrincipalOrgPaths 是一个多值条件键。多值键在请求上下文中可以有多个值。在您为 ForAnyValue 条件运算符使用多个值时，主体的路径必须与策略中列出的其中一个路径匹配。有关多值条件键的更多信息，请参阅使用多个键和值。

    "Condition": {
        "ForAnyValue:StringLike": {
            "aws:PrincipalOrgPaths": [
                "o-a1b2c3d4e5/r-ab12/ou-ab12-33333333/*",
                "o-a1b2c3d4e5/r-ab12/ou-ab12-22222222/*"
            ]
        }
    }

aws:PrincipalTag/tag-key

与字符串运算符结合使用。

使用此键可将附加到发出请求的主体的标签与您在策略中指定的标签进行比较。如果已为主体附加多个标签，则请求上下文会为每个附加的标签键包含一个 aws:PrincipalTag 键。

您可采用键/值对的形式向用户或角色添加自定义属性。有关 IAM 标签的更多信息，请参阅 标记 IAM 资源。您可以将 aws:PrincipalTag 用于针对 Amazon 主体的访问控制。

此示例说明如何创建基于角色的策略，以允许具有 department=hr 标签的用户管理 IAM 用户、组或角色。要使用此策略，请将示例策略中的斜体占位符文本替换为您自己的信息。然后，按照创建策略或编辑策略中的说明操作。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "iam:*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalTag/department": "hr"
        }
      }
    }
  ]
}

此示例说明如何使用资源 ARN 中的 aws:PrincipalTag 键创建基于资源的策略。仅当存储桶名称以 team 主体标签中的团队名称结尾时，该策略才允许 s3:GetObject 操作。要使用此策略，请将示例策略中的斜体占位符文本替换为您自己的信息。然后，按照创建策略或编辑策略中的说明操作。

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Principal": "*",
    "Action": "s3:GetObject",
    "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET-${aws:PrincipalTag/team}/"
  }
}

aws:PrincipalType

与字符串运算符结合使用。

使用此键可将发出请求的主体的类型与您在策略中指定的主体类型进行比较。有关更多信息，请参阅指定主体。有关 principal 密钥值的具体示例，请参阅 主体键值。

aws:referer

与字符串运算符结合使用。

使用此键可将在客户端浏览器中引用请求的站点与您在策略中指定的引用站点进行比较。aws:referer 请求上下文值是由调用方在 HTTP 标头中提供的。当您在网页上选择链接时，Referer 标题将包含在 Web 浏览器请求中。Referer 标题包含选定链接的网页的 URL。

例如，您可以直接使用 URL 或使用直接 API 调用访问 Amazon S3 对象。有关更多信息，请参阅使用 Web 浏览器直接调用 Amazon S3 API 操作。当您从网页中存在的 URL 访问 Amazon S3 对象时，源网页的 URL 将在 aws:referer 中使用。当您通过在浏览器中键入 URL 来访问 Amazon S3 对象时，aws:referer 不存在。直接调用 API 时，aws:referer 也不存在。您可以使用策略中的 aws:referer 条件键以允许来自特定引用站点发出的请求，例如公司域中网页上的链接。

aws:RequestedRegion

与字符串运算符结合使用。

使用此键可将已在请求中调用的 Amazon 区域与您在策略中指定的区域进行比较。您可以使用此全局条件键来控制可请求的区域。要查看每种服务的 Amazon 区域，请参阅 Amazon Web Services 一般参考中的服务终端节点和配额。

一些全球服务（如 IAM）具有单个终端节点。因为此端点的物理位置在美国东部（弗吉尼亚北部）区域，所以 IAM 调用始终会向 us-east-1 区域发出。例如，如果您创建一个策略以在请求的区域不是 us-west-2 时拒绝访问所有服务，则 IAM 调用将始终失败。要查看如何解决此问题的示例，请参阅 NotAction 与 Deny。

您可以使用该上下文密钥将访问限制为一组给定区域中的 Amazon 服务。例如，以下策略允许用户查看 Amazon Web Services Management Console 中的所有 Amazon EC2 实例。但是，它仅允许用户更改爱尔兰 (eu-west-1)、伦敦 (eu-west-2) 或巴黎 (eu-west-3) 中的实例。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "InstanceConsoleReadOnly",
            "Effect": "Allow",
            "Action": [
                "ec2:Describe*",
                "ec2:Export*",
                "ec2:Get*",
                "ec2:Search*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "InstanceWriteRegionRestricted",
            "Effect": "Allow",
            "Action": [
                "ec2:Associate*",
                "ec2:Import*",
                "ec2:Modify*",
                "ec2:Monitor*",
                "ec2:Reset*",
                "ec2:Run*",
                "ec2:Start*",
                "ec2:Stop*",
                "ec2:Terminate*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestedRegion": [
                        "eu-west-1",
                        "eu-west-2",
                        "eu-west-3"
                    ]
                }
            }
        }
    ]
}       

aws:RequestTag/tag-key

与字符串运算符结合使用。

使用此键可将请求中传递的标签键/值对与您在策略中指定的标签对进行比较。例如，您可以检查请求是否包含标签键 "Dept" 并具有 "Accounting" 值。有关更多信息，请参阅在 Amazon 请求期间控制访问。

该上下文密钥的格式为 "aws:RequestTag/tag-key":"tag-value"，其中 tag-key 和 tag-value 是标签键值对。标签密钥和值不区分大小写。这意味着，如果您在策略的条件元素中指定 "aws:RequestTag/TagKey1": "Value1"，则条件将匹配名为 TagKey1 或 tagkey1 的请求标签键，但不会同时匹配两者。

这个例子表明，虽然该键是单值的，但如果键不同，您仍然可以在请求中使用多个键值对。

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "ec2:CreateTags",
    "Resource": "arn:aws:ec2:::instance/*",
    "Condition": {
      "StringEquals": {
        "aws:RequestTag/environment": [
          "preprod",
          "production"
        ],
        "aws:RequestTag/team": [
          "engineering"
        ]
      }
    }
  }
}

aws:ResourceOrgID

与字符串运算符结合使用。

使用此键可将被请求资源所属的 Amazon Organizations 中组织的标识符与策略中指定的标识符进行比较。

此全局键会返回给定请求的资源组织 ID。它允许您创建适用于组织中所有资源的规则，这些资源在基于身份的策略的 Resource 元素中指定。您可以在条件元素中指定组织 ID。当您添加和删除账户时，包含 aws:ResourceOrgID 键的策略将自动包括正确的账户，并且不必手动更新。

例如，以下策略会阻止主体将对象添加到 policy-genius-dev 资源，除非 Amazon S3 资源与发出请求的主体属于同一组织。

{
  "Version": "2012-10-17",
  "Statement": {
    "Sid": "DenyPutObjectToS3ResourcesOutsideMyOrganization",
    "Effect": "Deny",
    "Action": "s3:PutObject",
    "Resource": "arn:partition:s3:::policy-genius-dev/*",
    "Condition": {
      "StringNotEquals": {
        "aws:ResourceOrgID": "${aws:PrincipalOrgID}"
      }
    }
  }
}

某些 Amazon 服务，例如 Amazon Web Services Data Exchange，依赖于对您的 Amazon Web Services 账户 以外的资源的访问来进行正常操作。如果您在策略中使用 aws:ResourceOrgID 键，请在策略中包含额外声明来为这些服务创建豁免。示例策略 演示了如何根据资源账户拒绝访问，同时定义对于服务拥有的资源的例外情况。您可以使用 aws:ResourceOrgID 键来创建类似的策略，限制对企业内部资源的访问，同时包括服务拥有的资源。

将此策略示例用作创建自己的自定义策略的模板。参阅服务文档以了解更多信息。

aws:ResourceOrgPaths

与字符串运算符结合使用。

使用此键来比较所访问资源的 Amazon Organizations 路径与策略中的路径。在策略中，此条件键可确保该资源属于 Amazon Organizations 中指定组织根或组织单位（OU）的账户成员。Amazon Organizations 路径是 Organizations 实体结构的文本表示形式。有关使用和了解路径的更多信息，请参阅 了解 Amazon Organizations 实体路径

aws:ResourceOrgPaths 是一个多值条件键。多值键在请求上下文中可以有多个值。对于此键，您必须将 ForAnyValue 或者 ForAllValues 集合运算符与字符串条件运算符搭配使用。有关多值条件键的更多信息，请参阅使用多个键和值。

例如，对于属于组织 o-a1b2c3d4e5 的资源，以下条件会返回为 True。包含通配符时，您必须使用 StringLike 条件运算符。

"Condition": { 
      "ForAnyValue:StringLike": {
             "aws:ResourceOrgPaths":["o-a1b2c3d4e5/*"]
   }
}

对于具有 OU ID ou-ab12-11111111 的资源，以下条件返回 True。它将匹配附加到 OU ou-ab12-111111 或任何子 OU 的账户所拥有的资源。

"Condition": { "ForAnyValue:StringLike" : {
     "aws:ResourceOrgPaths":["o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/*"]
}}

对于直接附加到 OU ID ou-ab12-22222222（而非子 OU）的账户所拥有的资源，以下条件返回 True。下列示例使用 StringEquals 条件运算符来指定 OU ID 的完全匹配（而非通配符匹配）要求。

"Condition": { "ForAnyValue:StringEquals" : {
     "aws:ResourceOrgPaths":["o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/"]
}}

某些 Amazon 服务，例如 Amazon Web Services Data Exchange，依赖于对您的 Amazon Web Services 账户 以外的资源的访问来进行正常操作。如果您在策略中使用 aws:ResourceOrgPaths 键，请在策略中包含额外声明来为这些服务创建豁免。示例策略 演示了如何根据资源账户拒绝访问，同时定义对于服务拥有的资源的例外情况。您可以使用 aws:ResourceOrgPaths 键来创建类似的策略，限制对企业部门（OU）内部资源的访问，同时包括服务拥有的资源。

将此策略示例用作创建自己的自定义策略的模板。参阅服务文档以了解更多信息。

aws:ResourceTag/tag-key

与字符串运算符结合使用。

使用此键可将您在策略中指定的标签键/值对与附加到资源的键/值对进行比较。例如，您可能会要求只有在资源具有附加的标签键 "Dept" 和值 "Marketing" 时才允许访问该资源。有关更多信息，请参阅控制对 Amazon 资源的访问。

该上下文密钥的格式为 "aws:ResourceTag/tag-key":"tag-value"，其中 tag-key 和 tag-value 是标签键值对。标签密钥和值不区分大小写。这意味着，如果您在策略的条件元素中指定 "aws:ResourceTag/TagKey1": "Value1"，则条件将匹配名为 TagKey1 或 tagkey1 的资源标签键，但不会同时匹配两者。

有关使用 aws:ResourceTag 键控制对 IAM 资源的访问的示例，请参阅 控制对 Amazon 资源的访问。

有关使用 aws:ResourceTag 键控制对其他 Amazon 资源的访问的示例，请参阅 使用标签控制对 Amazon 资源的访问。

有关使用 aws:ResourceTag 条件键进行基于属性的访问控制 (ABAC) 的教程，请参阅 IAM 教程：根据标签定义访问 Amazon 资源的权限。

aws:SecureTransport

与布尔值运算符结合使用。

使用此键可检查是否已使用 SSL 发送请求。请求上下文将返回 true 或 false。在策略中，只能在使用 SSL 发送请求时允许特定操作。

aws:SourceAccount

与字符串运算符结合使用。

使用此键可将发出服务到服务请求的资源的账户 ID 与您在策略中指定的账户 ID 进行比较。

您可以使用此条件键来防止 Amazon 服务在服务之间执行事务时被用作混淆代理人。将此条件键的值设置为请求中资源的账户。例如，当 Amazon S3 存储桶更新触发 Amazon SNS 主题帖子时，Amazon S3 服务将调用 sns:Publish API 操作。在允许 sns:Publish 操作的策略中，将条件键的值设置为 Amazon S3 存储桶的账户 ID。有关如何以及建议何时使用这些条件键的信息，请参阅有关您正在使用的 Amazon 服务的文档。

aws:SourceArn

与 ARN 运算符和字串运算符结合使用。Amazon 建议在比较 ARN 时使用 ARN 运算符而不是字符串运算符。

使用此键可将发出服务到服务请求的资源的 Amazon Resource Name (ARN) 与您在策略中指定的 ARN 进行比较。

此键不适用于发出请求的主体的 ARN。请改用 aws:PrincipalArn。源的 ARN 包含账户 ID，因此不必将 aws:SourceAccount 与 aws:SourceArn 结合使用。

您可以使用此条件键来防止 Amazon 服务在服务之间执行事务时被用作混淆代理人。将此条件键的值设置为请求中资源的 ARN。例如，当 Amazon S3 存储桶更新触发 Amazon SNS 主题帖子时，Amazon S3 服务将调用 sns:Publish API 操作。在允许 sns:Publish 操作的策略中，将条件免邮的值设置为 Amazon S3 存储桶的 ARN。有关如何以及建议何时使用这些条件键的信息，请参阅有关您正在使用的 Amazon 服务的文档。

aws:SourceIdentity

与字符串运算符结合使用。

使用此密钥可将主体设置的源身份与您在策略中指定的源身份进行比较。

您可以在策略中使用此密钥来允许 Amazon 中的主体操作，这些主体在担任角色时设置了源身份。角色指定源身份的活动显示在 Amazon CloudTrail。这使管理员能够更轻松地确定什么角色在 Amazon 中执行了操作。

与 sts:RoleSessionName 不同，在设置源身份后，无法更改该值。它存在于角色执行的所有操作的请求上下文中。当您使用会话凭证担任另一个角色时，该值将保留到后续角色会话中。从一个角色代入另一个角色的过程称为角色链。

当主体使用任何 Amazon STS 担任角色 CLI 命令或 Amazon STS AssumeRole API 操作担任角色并初次设置源身份时，sts:SourceIdentity 密钥将会出现在请求中。aws:SourceIdentity键存在于对具有源身份设置的角色会话执行的任何操作请求中。

以下账户 111122223333 中适用于 CriticalRole 的角色信任策略包含一个条件适用于 aws:SourceIdentity 的条件，可防止未将源身份设置为 Saanvi 或 Diego 主体担任该角色。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AssumeRoleIfSourceIdentity",
            "Effect": "Allow",
            "Principal": {"AWS": "arn:aws:iam::123456789012:role/CriticalRole"},
            "Action": [
                "sts:AssumeRole",
                "sts:SetSourceIdentity"
            ],
            "Condition": {
                "StringLike": {
                    "aws:SourceIdentity": ["Saanvi","Diego"]
                }
            }
        }
    ]
}

要了解有关使用源身份信息的更多信息，请参阅 监控和控制使用所担任角色执行的操作。

aws:SourceIp

与 IP 地址运算符结合使用。

使用此键可将请求者的 IP 地址与您在策略中指定的 IP 地址进行比较。aws:SourceIp 条件键只能用于公有 IP 地址范围。

可在策略中使用 aws:SourceIp 条件键以仅允许主体从指定的 IP 范围发出请求。但是，如果 Amazon 服务代表主体进行调用，则此策略拒绝访问。在这种情况下，您可以将 aws:SourceIp 与 aws:ViaAWSService 键结合使用，以确保源 IP 限制仅适用于主体直接发出的请求。

例如，您可以将以下策略附加到一个 IAM 用户。如果用户从指定的 IP 地址进行调用，则此策略允许用户将对象直接放入 DOC-EXAMPLE-BUCKET3 Amazon S3 存储桶中。但是，如果用户发出另一个请求而导致服务调用 Amazon S3，则 IP 地址限制不适用。只有当请求不是由服务发出时，PrincipalPutObjectIfIpAddress 语句才会限制 IP 地址。如果请求是由服务发出的，则 ServicePutObject 语句允许执行此操作而没有 IP 地址限制。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PrincipalPutObjectIfIpAddress",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET3/*",
            "Condition": {
                "Bool": {"aws:ViaAWSService": "false"},
                "IpAddress": {"aws:SourceIp": "203.0.113.0"}
            }
        },
        {
            "Sid": "ServicePutObject",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*",
            "Condition": {
                "Bool": {"aws:ViaAWSService": "true"}
            }
        }
    ]
}

如果请求来自使用 Amazon VPC 终端节点的主机，则 aws:SourceIp 密钥不可用。您应改用特定于 VPC 的键，例如 aws:VpcSourceIp。有关使用 VPC 端点的更多信息，请参阅《Amazon PrivateLink 指南》中的 VPC 端点和 VPC 端点服务的身份和访问管理。

aws:SourceVpc

与字符串运算符结合使用。

使用此键可检查请求是否来自您在策略中指定的 VPC。在策略中，您可以使用此键以仅允许访问特定的 VPC。有关更多信息，请参阅 Amazon Simple Storage Service 用户指南中的限制对特定 VPC 的访问。

aws:SourceVpce

与字符串运算符结合使用。

使用此键可将请求的 VPC 终端节点标识符与您在策略中指定的终端节点 ID 进行比较。在策略中，您可以使用此键来限制对特定 VPC 的访问。有关更多信息，请参阅 Amazon Simple Storage Service 用户指南中的限制对特定 VPC 终端节点的访问。

aws:TagKeys

与字符串运算符结合使用。

使用此键可将请求中的标签键与您在策略中指定的键进行比较。我们建议当使用策略来通过标签控制访问时，请使用 aws:TagKeys 条件键来定义允许的标签键。有关示例策略和更多信息，请参阅根据标签键控制访问。

该上下文密钥的格式为 "aws:TagKeys":"tag-key"，其中 tag-key 是没有值的标签键列表 (例如，["Dept","Cost-Center"])。

由于可在一个请求中包含多个标签键/值对，因此，请求内容可以是多值请求。在此情况下，您必须使用 ForAllValues 或 ForAnyValue 集合运算符。有关更多信息，请参阅使用多个键和值。

某些服务支持同时使用标记和资源操作，例如创建、修改或删除资源。要允许在单次调用中同时使用标记和操作，您必须创建同时包含标记操作和资源修改操作的策略。然后，您可以使用 aws:TagKeys 条件键强制在请求中使用特定标签键。例如，要在某人创建 Amazon EC2 快照时限制标签，您必须在策略中包含 ec2:CreateSnapshot创建操作和 ec2:CreateTags 标记操作。要查看此使用 aws:TagKeys 场景的策略，请参阅适用于 Linux 实例的 Amazon EC2 用户指南中的创建具有标签的快照。

aws:TokenIssueTime

与日期运算符结合使用。

使用此键可将临时安全凭证的颁发日期和时间与您在策略中指定的日期和时间进行比较。

要了解哪些服务支持使用临时凭证，请参阅使用 IAM 的Amazon服务。

aws:UserAgent

与字符串运算符结合使用。

使用此键可将请求者的客户端应用程序与您在策略中指定的应用程序进行比较。

aws:userid

与字符串运算符结合使用。

使用此键可将请求者的主体标识符与您在策略中指定的 ID 进行比较。对于 IAM 用户，请求上下文值是用户 ID。对于 IAM 角色，此值的格式可能有所不同。有关如何为不同的主体显示信息的详细信息，请参阅指定主体。有关 principal 密钥值的具体示例，请参阅 主体键值。

aws:username

与字符串运算符结合使用。

使用此键可将请求者的用户名与您在策略中指定的用户名进行比较。有关如何为不同的主体显示信息的详细信息，请参阅指定主体。有关 principal 密钥值的具体示例，请参阅 主体键值。

aws:ViaAWSService

与布尔值运算符结合使用。

使用此键检查 Amazon 服务是否代表您向其他服务发出请求。

当服务使用 IAM 主体的凭证代表主体发出请求时，请求上下文密钥返回 true。如果服务使用服务角色或服务相关角色代表主体进行调用，则上下文密钥返回 false。当主体直接进行调用时，请求上下文密钥也会返回 false。

您可以根据请求是否由服务发出，使用此条件键允许或拒绝访问。有关示例策略，请参阅Amazon：基于源 IP 拒绝对 Amazon 的访问。

aws:VpcSourceIp

与 IP 地址运算符结合使用。

使用此键可将从中发出请求的 IP 地址与您在策略中指定的 IP 地址进行比较。在策略中，键仅在请求来自指定的 IP 地址并经过 VPC 终端节点时进行匹配。

有关更多信息，请参阅《Amazon VPC 用户指南》中的使用 VPC 终端节点控制对服务的访问。

其他跨服务条件键

全局条件键是带 aws: 前缀的条件键。单个服务可以创建自己的条件键。这些特定于服务的条件键包括与服务名称匹配的前缀，例如 iam: 或 sts:。

服务可以创建服务特定键，这些键在其他服务的请求上下文中可用。这些键可在多个服务中使用，但不是全局条件键。例如，Amazon STS 支持 基于 SAML 的联合条件键。当使用 SAML 联合的用户在其他服务中执行 Amazon 操作时，这些键可用。其他示例包括 identitystore:UserId 和 ec2:SourceInstanceArn。

要查看用于一项服务的服务特定条件键，请参阅Amazon 服务的操作、资源和条件键，然后选择要查看其键的服务。